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Введение 


Комбинаторный взрыв вариантов поведения — основная проблема, с которой сталки- 
ваются методы проверки правильности формальных моделей. Универсального решения 
данной проблемы не существует, однако активно создаются и развиваются специиали- 
зированные методы, позволяющие минимизировать количество состояний модели, 
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необходимых для проверки тех или иных свойств [1], [2]. Цели предлагаемого метода 
близки к целям методов частичного порядка [3], [4], которые служат для устранения 
избыточного интерливинга. Их суть заключается в том, чтобы при проверке свойств 
рассматривать не все перестановки параллельных действий в модели, а лишь некоторые 
из них. Существующие методы показывают высокую эффективность, когда удается 
синтаксически (на основании структурного описания модели) локализовать места 
доступа к глобальным атрибутам и каналам сообщения процессов (например, [5]). 
Но, к сожалению, такой подход эффективен не всегда — статический анализ значительно 
преувеличивает фактические информационные связи, и как следствие, существенная 
часть избыточных перестановок не устраняется. Более того, интерливинг часто может 
быть промоделирован недетерминизмом (например, когда в модели «синтаксически» 
всего один процесс, но его поведение представляет большой цикл недетерминированных 
действий). Проблема элиминации избыточных перестановок актуальна не только для 
верификации, отладки и тестирования, но и для повышения степени параллелизма — 
выявление независимых участков поведений упрощает построение адекватной распре- 
деленной архитектуры разрабатываемой системы. 

Цель метода — эффективно сократить перебор вариантов поведения формальных 
моделей при доказательстве достижимости заданных свойств. 


Краткое описание метода 


Описываемый метод развивает предложенный ранее метод динамической абстрак- 
ции [6]. Главная отличительная особенность новации заключается в способе представления 
состояний модели. Следует отметить, что существующие Верификаторы оперируют [1] 
«монолитными» (т.е. представляющими собой мгновенный снимок всей информации 
о моделируемой системе) состояниями (иногда разделенными на части по принципу 
принадлежности атрибутов процессу [7], но это скорее для экономии памяти, а не для со- 
кращения перебора), и для избегания повторных посещений осуществляют проверку 
вхождения текущего состояния во множество ранее пройденных. В отличие от этого, 
предлагаемый метод представляет поведение модели графом информационных зави- 
симостей между значениями ее атрибутов, а для проверки повторных (точнее, избы- 
точных) посещений используется процедура отсечения ветвей поведения, которая 
устанавливает факт их избыточности на основании доказательства изоморфизма уже 
построенной части графа и графа, который может быть построен из текущего состояния. 

Для демонстрации преимущества такого подхода рассмотрим модель, состоящую 
из р процессов, каждый из которых оперирует одним атрибутом и независимо друг 
от друга выполняет и атомарных последовательных действий. Количество возможных 
(пр)! 


т)?’ 


трасс такой модели определяется формулой а количество различных достижимых 


состояний — (и+1)?, при этом граф информационных зависимостей имеет всего (и-+1)-р 
вершин. 

Пример. Пусть задана модель, в которой количество процессов р = 2, действий 
п = 3. Первый процесс представлен атрибутом х, второй - у, начальное состояние: х = 0, 
у = 0; переходы приведены в табл. 1. Свойство, необходимое для проверки на дости- 
жимость (целевое состояние Ргор): х=3 л у=З. Поток управления не структурирован 
(отсутствует как таковой), а последовательность выполнения переходов определяется 
динамически на основании значений атрибутов. Такая модель допускает 20 трасс, 
ведущих к целевому состоянию: ({={А0,А1,А2,ВО,В1,В2}; 6={А0,АТ,ВО,А2,В1,В2};...; 
6,={В0,В1,В2,А0,А1,А2}) и 16 достижимых состояний: ({0,0},{0,1$,...,{0,3$,...,{3,31). 
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При этом граф информационных зависимостей имеет всего 8 вершин (см. рис. 1) со 
значениями атрибутов (2 из которых относятся к начальному состоянию). Отметим, 
что для аналогичной модели из трех процессов, выполняющих по шесть действий, 
количество состояний превышает 300, трасс более 17 млн, тогда как граф ее зависи- 
мостей включает всего 21 вершину. 


Таблица 1 — Переходы модели 


Переход предусловие постусловие 
АО х=0 х:=1 
А1 х=1 х.=2 
А2 х=2 х.=3 
во у=0 у:=1 
В1 у=1 у:=2 
В2 у=2 у.=3 


Рисунок 1 — Граф зависимости 


Для данного примера выигрыш в необходимом объеме памяти очевиден; теперь 
нужно показать, что асимптотическая емкостная сложность хранения вершин графа 
зависимостей будет не больше сложности хранения «монолитных» состояний всегда. 
Так же будет показано, что два изоморфных графа зависимостей соответствуют оди- 
наковым результатам проверки свойств. 

Далее приведено описание формальной модели и принцип построения графа за- 
висимости, а так же приведена аналитическая процедура прогнозирования изоморфизма 
и некоторые ее возможные оптимизации. 


Формальная модель 


Ниже определена операционная семантика формальной модели. Пусть задано ко- 
нечное множество атрибутов А=У,у,,...у, и пусть также для каждого атрибута у еЕА 
определена конечная область допустимых значений П(у,). 

Определение 1. Состоянием называется множество пар атрибутов и их значений 
(констант) вида а =а,)|у, Е А, 4; Е Б(у,)}}. 


Назовем предусловием некоторую бескванторную формулу логики предикатов 
над атрибутами множества А и константами из соответствующих областей допусти- 
мых значений О. Назовем постусловием множество присваиваний вида у := ехри(5), 
ГДе уЕ А, 5 — состояние, а ехрг:5 —> )() — некоторая функция над атрибутами состояния 5. 
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Определение 2. Переходом называется тройка вида (1, <, В), где {— имя перехо- 
да, и — его предусловие, а В — постусловие. 

Семантика переходов аналогична охраняемым командам Дейкстры [8]: если в не- 
котором состоянии $ предусловие перехода + истинно, то модель может выполнить 
этот переход и перейти в новое состояние $’ = ($), которое отличается от предыдущего 
значениями тех атрибутов, которым было выполнено присваивание новых значений 
в постусловии. Переходы детерминированы и выполняются атомарно за конечное время. 

Определение 3. Формальной моделью называется семерка вида М = <5, 5%, Т, А, 
о, Е>, где 5 — конечное множество состояний, 50 5 — начальное состояние, Г конечное 
множество переходов, А — атрибутов, О — соответствующие области допустимых значе- 
ний. Интерпретация атомарных формул предусловий задана функцией /:5хП-—{Т,Е}, 
где П — множество всех атомарных формул из предусловий переходов и проверяемых 
свойств, Ти Е соответственно обозначают «истина» и «ложь». Ё:(5,›) —>О(ъ) — функция, 
вычисляющая значение атрибута у на состоянии 5. 

Такая формальная модель служит удобным математическим аппаратом для описа- 
ния поведения широкого спектра систем асинхронно-взаимодействующих процессов 
и их абстракций. Атрибуты могут быть логически разбиты на подмножества в соот- 
ветствии с их принадлежностью процессам; переходы могут быть параметризированы 
идентификатором процесса. 

Определение 4. Истинность формулы ф на состоянии 3, записывается $ | =Ф, 
определяется индуктивно по структуре формулы ф: 


з |= а = Т(з,а) = Т- если атомарный предикат а истинен в $, иначе Е; 
5 |= › = $ |= ф- если формула ф не выполняется в 3; 

з |= Ф!дф> = $ |= фФлз |=ф> — если в 5 выполняется формула Ф! и Ф›; 

з |= Ф1.Уф› = $ |= ф\Уз |=Ф> — если в 5 выполняется формула Ф! или фо. 


Запись 5—^>5'’ означает, что предусловие перехода # выполняется в состоянии $5, 
то есть 5|=а, и выполнение присваиваний постусловия Д, преобразует 5в 5’. 


Определение 5. Трассой в М из состояния 5; в состояние 5; называется такая по- 


> Г. [. 
следовательность состояний и переходов 5; >51 ———>5,.....5 ‚> ЧТО 5, езл& ЕТ 


1 
для всех КЕ!..]. 


Определение 6. Состояние $ достижимо в модели М, если существует трасса, 
ведущая из начального состояния 50 в 5. Множество всех достижимых состояний 
будем обозначать ВеасраБ1 (М, 50). 

Под поведением модели в общем случае понимается множество ее трасс, выхо- 
дящих из начального состояния. 

В основном, на формальных моделях проверяют достижимость состояний, ко- 
торые удовлетворяют заданным свойствам (т.н. ПУепезз), или, наоборот, нарушают их (за- 
Ге). К такой постановке задачи сводятся многие типы проверяемых свойств [2]. Для 
простоты описания, мы будем предполагать, что проверяемые на достижимость состоя- 
ния должны удовлетворять свойствам, которые заданы в виде формулы предусловия 
перехода. Отметим, что это не является ограничением самого метода, в частности, 
метод легко расширяется для проверки свойств, выраженных в темпоральных логиках. 

Определение 7. Задача верификации — проверить истинность М | =Ргор, то есть 
найти такое состояние 5е Веасра]1е (М, 50), что $5|=Ргкор, или доказать, что та- 
кого не существует. 
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Очевидно, что для решения такой задачи достаточно построить все множество 
достижимых состояний и проверить выполнимость заданного свойства на каждом из них. 
Однако это множество может оказаться очень большим, и как следствие, такой наив- 
ный подход окажется непригодным. Но во многих случаях для проверки свойств не обя- 
зательно строить все множество достижимых состояний. В нашем случае это может 
быть связано с тем, что алгоритм обнаружит искомое состояние не в последнюю оче- 
редь (и тогда его работа будет закончена), или с тем, что алгоритм при выполнении 
обхода не будет посещать некоторые ветви поведения модели на основании выводов 
о недостижимости искомого состояния в них. 


Выполнение переходов и проверка свойств 


Для выполнения перехода + из состояния з в новое состояние з’ данная работа 
использует процедуру Егапз1&; ее подробное описание приведено в [6], а модифи- 
кация процедуры выполнения предусловия в [9]. Так, выполнение Е гапз1* построит 
множество В атрибутов, значений которых (согласно лемме 1 из [9]) достаточно для вы- 
числения истинности предусловия +, и (согласно лемме 4 из [6]), если переход вы- 
полним, множество М атрибутов, которым осуществлялось присваивание, а так же 
для каждого атрибута ие М множество У [м] атрибутов, которые входят в выражение, 
формирующее значение м. Примеры ее работы с выполнимыми переходами проде- 
монстрированы на рис. 2, 3. 


Предусловие перехода 1 : —(х=а+Ъ) ^ у=0 Предусловие перехода @ : (а>0 \ 6=1) 
Постусловие перехода {1 : а:=а-с; х:=0 Постусловие перехода #2: а:=а-1; с:=6 

Вход: папз(а=2 6=0,с=1,х=1,у=0), 41) Вход: пап$((а=2, 6=0, с=1),62) 

Выход: Выход: 

(гези ЕТ; $’=(а=1,6=0,с=1,х=0,у=0); (гези ЕТ; $’=(а=1, 6=0, с=0); 

В={х,а Бу} М ={а,х};У[а|={а,с}У[х|= ©) В={а  М={а,с};У[а]= {а} У[<]={6} 

Рисунок 2 — Пример работы Е гап$1 Рисунок 3 — Пример работы Егапз1 


Необходимо отметить, что в результате работы процедуры Егапз1е множество 
В-атрибутов будет содержать не обязательно все атрибуты, входящие в предусловие. 
Например, для вычисления Е1 Л Е›л...Е, при истинных Ё\,..., Ег-1 И ЛОЖНОМ Е», 
множество К будет содержать только атрибуты, входящие в Е; аналогично, только атри- 
буты, входящие в &,, будут в множестве В при вычислении — (1 Е у...) при лож- 
ных Ё1,..., Еп-1 И истинном Ен. На рис. 4 приведены примеры таких множеств, 
построенных для недопустимых переходов из некоторых состояний. Аналогично прове- 
ряется истинность заданного свойства (рис. 5) процедурой рхорегку_сВеск [6]. 


Предусловие {1: — (х=а+6) ^ у=0 Свойство Ргор: х=0 М —(у=0 \ 7=0) 
Вход -— состояние 4 Выход — множество Вход — состояние 4 |Выход — множество К 
В 
а=а=0=0,х=0,у=0} (Е; {х,а.5}) 9—={х=1у=0,2=0} (Е; {ху} 
9={а=0,5=0,х=1.у=1} (Е; {У} 9={х=Ьу=1,2=0} (Е; {х,2}) 
Рисунок 4 — Примеры множества В Рисунок 5 — Примеры множества В 


Такой способ интерпретации формул предусловий и проверяемых свойств позво- 
ляет динамически сокращать информационные связи. Пример на рис. 4 показывает, 
что при у=1 значения атрибутов х, а, Ъ не влияют на результат выполнения перехо- 
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да Е 1, и как следствие, будут игнорироваться. Развитием этого способа может стать 
«символьная» интерпретация, в результате которой в данном примере атрибуты х, а, Б 
будут игнорироваться при — (у=0). 


Построение графа информационных зависимостей 


Формализация информационной зависимости и алгоритмизация ее построения — 
актуальная тема многочисленных исследований [10-17]. Выявление независимых эле- 
ментов модели (операторов, переходов) имеет широкий спектр применений - в частно- 
сти, слайсинг, тестирование, отладка и т.п. 

В отличие от многих существующих подходов, мы будем строить граф зависи- 
мостей значений атрибутов: его вершины (см. рис. 6) будут размечены, в частности, 
парами вида «атрибут=значение» (далее — «атрибутные вершины»), а направлен- 
ные ребра будут отмечать факт зависимости, при этом они могут быть размечены 
именами соответствующих переходов. Граф будет генерироваться динамически, в про- 
цессе обхода пространства поведения модели. 

Для построения графа зависимости используется адаптированный алгоритм Тарьяна 
поиска компонент сильной связности (КСС). Далее предполагается, что процедура 
Е гапз1& модифицирована, так, что множества В, М, У [] будут состоять из пар вида 
«раме, уа1ае», где пащее А - имя атрибута, уа1ае е О(папе) - его значение. Дуги 
и вершины графа добавляются на основании результатов (гезо1е,В, М, У [М] ) вы- 
полнений процедуры Егапз1* (3,Е) следующим образом: если переход выполним 
(хези1%=Т), то для каждого ме пара «м .раме, \ .уа1ае» будет соединена дугами, 
выходящими из всех пар «г .паще, г.уа1е», гЕБ, и из пар «у .паце, у .уа1ае», 
УЕУХ [№] . В случае, если переход невыполним, будет порождена специальная вершина 
с разметкой «Е=Е» (рис. 7), в которую будут входить дуги из всех пар «г.паще, 
г.уа1 ое», кеВ. Аналогично строятся вершины при выполнении процедуры рго- 
регЕу среск ($5) : в случае, если свойство, заданное для проверки, выполнимо, будет 
порождена специальная вершина с разметкой «Рхор=Т», иначе «Ргор=Е». Вершины 
вида «Е=Е», «Ргор=Т(Е)» будем называть «синхронизирующими вершинами». Для 
экономии памяти и времени, такие вершины могут объединяться по принципу связи 
с общими атрибутными вершинами. Для того чтобы различать одинаково размеченные 
вершины графа, им будет сопоставляться уникальный идентификатор. 

Примеры. На рис. 6, 7 показаны подграфы, построенные для выполнения пере- 
хода Е1 (рис. 2, 4). Для визуализации часто удобно представлять граф двудольным, 
рассматривая выполнение переходов и свойств как специальные вершины (см. соот- 
ветственно рис. 8, 9). 


Рисунок 6 — Подграф для Рисунок 7 — Подграф для 
выполнимого перехода на рис. 2 невыполнимого перехода на рис. 4 
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не выполним 


Рисунок 8 — Двудольный подграф Рисунок 9 — Двудольный подграф 
для перехода на рис. 2 для перехода на рис. 4 


Стоит отметить, что дуга от вершины «с=1» изображена пунктирной линией, 
так как она входит во множество \ [а] , но нев В (интуитивно — она представляет поток 
данных, а не управления). Такое различие позволит производить дополнительное отсе- 
чение ветвей в графе зависимости: если из вершины «а=1» не будет выходить ни одной 
дуги, то вершину «с=1» можно игнорировать (при условии отсутствия других выхо- 
дящих из нее дуг), а следовательно, не различать значения атрибута с при проверке 
повторности прохождения состояния. 

Определение 8. Графом зависимости называется размеченный ориентированный 
ациклический граф, разметки вершин которого представляют собой пары вида «атри- 
бут=значение», «Егап$11оп=Е», «Ргор=Т(Е)», а дуги отмечают факт зависимости. 
Граф, порождаемый состоянием $, будет обозначаться 5аЪрС (3). 

Далее предполагается, что информационная зависимость модели представлена 
графом, удовлетворяющим определению 8 (далее для краткости О-граф). 

Определение 9. Два О-графа С! и @› называются изоморфными, если С: после 
перенумерации идентификаторов вершин становится равным С2, то есть множества 
их вершин и дуг совпадает, в С! есть дуга, соединяющая вершины с идентификато- 
рами Ги / тогда и только тогда, когда в С> есть дуга, соединяющая вершины [и /. 

Полные формальные доказательства свойств алгоритма описываемого метода 
потребуют описания алгоритма проверки свойств модели методом динамической 
абстракции [6], так как предполагается, что вызов некоторых процедур (в частности, 
ркорегЕу_сфеск) будет производиться (соответствующим образом модифицирован- 
ной) процедурой Егауегзе. Поэтому здесь и далее приводятся схемы доказательств 
со ссылками на результаты [6]. 

Теорема 1. При завершении обхода компоненты сильной связности $СС пове- 
дения модели для ее корня КООТ.сс выполняются свойства: 

(1) 35 (3ЕЗСС л з|ЕРгор) <> «Ргор=Т»е барс (ВООТ.сс), 


(2)(з>ЕЗСС => зЕРгор) <> «Ргор=Т»я барс (ВООТосе). 

Схема доказательства. Вначале нужно показать, что процедура Егауегзе будет 
вызвана для каждого состояния из $СС. Далее справедливость первого утверждения 
следует из того, что вызов процедуры ргорегЕу сВескК осуществляется в проце- 
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дуре Егауегзе для каждого нового состояния, следовательно, если $|=Ргор, то вер- 
шина «Рхор=Т» построена при выполнении ргорегеу сВеск ($), и значит, входит 
в подграф 5$о50С (ВООТ.сс). Аналогично доказывается второе утверждение. 

Следует отметить, что при поиске циклов метод может редуцировать множество 
состояний КСС, которые будут параметром процедуры Егауегзе, но такая редук- 
ция сохранит справедливость теоремы 1. Полная процедура поиска циклов и КСС сама 
по себе заслуживает отдельного рассмотрения, ее полное описание выходит за рамки 
данной статьи. 


Алгоритм отсечения избыточных ветвей поведения 


При обходе пространства поведения формальной модели актуальна задача про- 
верки вхождения текущего состояния во множество ранее пройденных (так называемых 
у15 Неа ${а{е5). Это позволяет избежать повторных посещений состояний и определять 
цикличность поведения. Для этих целей существующие методы эффективно используют 
хеширование состояний (например, [18]). В этом подходе заключается суть различия 
предлагаемого метода от существующих. Предлагаемый в этой работе метод представ- 
ляет пройденную часть пространства поведения модели в виде графа информационных 
связей, а установление повторности посещения состояния сводится к доказательству 
изоморфизма уже построенной части графа и графа, который может быть построен 
из текущего состояния. Справедливость последнего утверждения следует из того, 
что, согласно теореме 1, выполнимость проверяемых свойств консервативна относи- 
тельно О-графа, а значит, при обходе пространства поведения модели можно ослабить 
отношение эквивалентности состояний (трассовой эквивалентности), и проверять одина- 
ковость поведения с точностью до изоморфизма О-графов. 

Пусть С=(У, Е) — О-граф. Если (а, Б)ЕЕ, будем писать а\ Ь. Через {* будем 
обозначать транзитивное замыкание отношения {,. Будем писать а {с Ь, если суще- 
ствует такая вершина х, что ас хлЬ9схл —(а 1 В) л—(Ь 4+ а). Через {* будем 
обозначать транзитивное замыкание отношения {‹. Согласно методу построения ди- 
намических абстракций [6], для установления факта повторности посещения состояния 
(достаточного для трассовой эквивалентности), достаточно сравнивать состояния с 
точностью до множества К-атрибутов (интуитивно, это множество пар вида атри- 
бут = значение, к которым осуществлялся «доступ на чтение»). В [6] предполагалось, 
что пройденные состояния хранятся как «монолитные». Предлагаемое усовершенство- 
вание заключается в том, что В-множество будет каждый раз строиться динамически 
по алгоритму транзитивного замыкания отношения {‹; на О-графе. Иными словами, 
для обнаружения полного множества В-атрибутов, соответствующего текущему со- 
стоянию 5, предлагаемый метод повторит прохождение соответствующих участков 
поведения модели, то есть работа алгоритма сведется к проверке ложности утвержде- 
ния а. х=>хя5 для каждой вершины ае1оса1_х_зе®. Такая процедура, конечно, 
значительно медленнее существующих эффективных процедур поиска состояния в 
базе пройденных по хеш-функции. Но с другой стороны, за счет того, что повторное 
прохождение осуществляется только по О-графу, такой метод позволяет эффективно 
устранять избыточные перестановки при обходе поведения модели. 

Далее предполагается, что существует процедура обхода пространства поведения 
модели аналогичная процедуре Егауегзе [6]. Вершины для текущего состояния 
представлены «монолитно» структурой сагхепе. Также предполагается, что построен- 
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ные КСС представлены О-графом С, в котором «изоморфные» вершины (то есть вер- 
шины с одинаковой разметкой, достижимые подграфы из которых изоморфны) связаны 
специальными ссылками \у151Ее_геЁегепсе. Структура данных для хранения 
информации о вершинах графа такова: {папе, уа1ще, 1190119, ооЕао1па, 1аем, 
\1316}, где 1090119 и оп до1па обозначают множества вершин, инцидентных 
соответственно входящим и исходящим дугам; 1Аеп/у1$1е используются для хра- 
нения связей с «изоморфными» вершинами. Хранилище подез _$огаде индексирует 
граф по разметке его вершин. 

Процедура свеск \1514еа:${Т,ЁЕ} используется для обнаружения избы- 
точности посещения состояний по отношению к КСС, которые найдены к моменту ее вы- 
зова. Предполагается, что вызов процедуры свеск \у1514еа будет производиться 
процедурой Е хауехзе для каждого вновь построенного состояния. 


Алгоритм отсечения избыточных ветвей 


Вход. Множество 1оса1 х_зее пар вида (папе, уа1ае), построенное из множеств В 
выполнения всех переходов и проверяемых свойств на данном состоянии. 

Выход. Резолюция ‘изоморфен’, если подграф, который можно построить из текущего 
состояния, изоморфен подграфу, построенному ранее (следовательно, анализ текущей 
ветви поведения можно не продолжать); в противном случае — резолюция ‘не изомор- 
фен’. Так же обновляются связи \1$1Ее_хеЁекепсе. 


ргоседиге сНесК \151%еа(1оса1 г зе®)1оса1 (г, па, о, Е1ая) 


Ъед1п 
1: Бог г Е 1оса1 г зеё ао 
Ъед1п 
2. Еог п Е поаез збогаде(г.паме, г.уа1ае) ао 
Ъед1п 
35 с1еаг макКкК$(); 
4. зеЕ магК (п, 1п ргодгезз); 
5. Е1ач < Т; 
6. Бог о Е пПАа->опеао1та ао 
Ъед1п 
ух Е1ач < спесКк опе поае (о); 
8. 1Е (Е1ад = Е) ЕВеп ао 
9. ЬгеаК // переход к следующему элементу из поаез _зфогаде 
епа 
10. 1Е (Е1ад = Т) Вет ао 
ЬгеаК // переход к следующему элементу из 1оса1_ х_зеё 
епа 
11. 1Е (Е1ад = Е) ЕВеп ао 
ТР гебагп ‘не изоморфен’ 
епа 
13. гебагп ‘изоморфен’ 
епа 


Процедура спесКк опе по4е проверяет изоморфизм относительно одной 
вершины. 


ргоседикге сНесКк опе поае (па) 1оса1 (1, о, \, Е1ад) 


Ъед1п 
14. зеЕ матК (па, 1п ргоагезз); 
15. Бог 1 Е па->1пао1та ао 
Ъед1п 
16: 1Е(деЕ магКк(1) = 1п ргодгезз)) ЕВеп ао 
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1.7: сопЕ1пие; // переход к следующему элементу из па->1п901п9 
18. Е1ач < Т; 
19. 12 (1.уа1ае = соггеп® [1.паме].уа1ое Л 1 # сагкеп® [1.паме]) Веп 4о 
Ъед1п 
20% сиггепЕ [1.паме]->1аем < 1; 
2 1->\у1$16Е < 1->\/151Е \/) саггепе[1.паме] 
епа 
22. 1Е(1.уа1ае # согкепе[1.папе] .уа1ае) ЕВеп 4о 
23. Е1ач < сресКк опе поае (1); 
24. 1Е (Е1ад = Е) ЕВеп ао 
25 Еог у Е па->у151Е ао 
Ъед1п 
26. Е1ач < спесКк опе поае (м); 
275 1Е (Е1ад = Т) Вет ао 
28. Ьгеак 
епа 
29. 1Е (Е1ад = Е) ЕВеп ао 
Ъед1п 
3:0: ипзеЕ \у1516еа геЕегепсез (па); 
З 1: гекагп Е м 
епа 
епа 
32: 1Е (па->1аем = ©) Бет ао 
33 ра < па->1аеп; 
З4. Бог о Е пПАа->опеао1та ао 
Ъед1п 
35. Е1ач < спесКк опе поае (о); 
36. 1Е (Е1ад = Е) Веп ао 
Ъед1п 
37. ипзее \%1516еЧ_геЁегепсез (па); 
38. гебагп Е 
епа 
епа 
39%. геЕигп Т 
епа 


Процедуры с1еаг магК$, зеЕ пакк, чее шагк соответственно сбрасывают, 
отмечают и проверяют отметку 1п_ргодкезз вершин графа для того, чтобы избе- 
жать зацикливания. Так как связи «потенциально изоморфных» вершин графа устанав- 
ливаются в процессе его обхода, то в случае негативного результата нужно их уда- 
лить. Это обеспечивается процедурой ипзее \131Ее_ хеЕегепс 

Теорема 2. Алгоритм закончит работу за время О(|56РС(соггер®)| - |А|). 

Доказательство. Согласно строкам 3, 4, 14, 16, 17 разметка 1п_ргодгезз гаран- 
тирует, что каждая вершина построенной части О-графа будет посещена не более одно- 
го раза для каждого элемента из 1оса1_ г зе. 

Необходимо отметить, что время можно значительно сократить путем исполь- 
зования техники специальной разметки, о которой будет сказано позже. 

Теорема 3. Процедура свеск_ у1$1+е4 правильно отвечает на вопрос «изомор- 
фен ли подграф, который можно построить из текущего состояния, подграфу, построен- 
ному ранее». 

Схема доказательства. По индукции. Доказательство основывается на том факте, 
что, будучи полностью построенной, КСС уже никогда не изменится: внутри нее не 
добавятся ни вершины, ни дуги, следовательно, О-граф, соответствующий КСС так 
же не будет изменяться. В [6] доказано, что состояния достаточно сравнивать с точностью 
до множества К. Осталось доказать, что алгоритм построит его (множество вершин, 
удовлетворяющих условию в строке 19) полностью. Для этого нужно показать, что алго- 
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ритм правильно вычисляет транзитивное замыкание отношения ь для вершин множе- 


ства 1оса1 х зе+. Для вершин инцидентных по входящим дугам, это свойство выпол- 
няется согласно строкам 15, 22, 23; по выходящим соответственно 6, 7 а так же 34, 35. 
Строки 24 - 28, 32, 33 аналогичным образом анализируют вершины, изоморфизм ко- 
торых был доказан ранее. 

Следствие. В случае позитивного ответа ветвь поведения из текущего состояния 
можно не рассматривать, так как проверка в ней выполнения заданных свойств, согласно 
теореме 1, избыточна. 

Теорема 4. Если состояние $ встретилось повторно, то результатом работы про- 
цедуры свеск \у151%еа ($) будет резолюция ‘изоморфен”. 

Схема доказательства. От противного. Пусть результатом будет ‘не изоморфен”. 
Тогда, с одной стороны (согласно строкам 2, 6, 7, 34, 35), это будет означать, что суще- 
ствует некоторая вершина «па, пу», достижимая из Эхе. С другой, это означает (согла- 
сно строкам 15, 23), что существует путь У9..«папу» на О-графе, не включающий ни 
одной вершины из Зе (иначе, согласно строкам 19, 22, 23, алгоритм нашел бы ее), 
причем уУо не имеет входящих дуг, так как О-граф не имеет контуров по построению. 
Этот путь показывает, что вершина «папу» недостижима из Зех, что приводит к проти- 
воречию. 

Теорема 5. Пусть |У | — количество атрибутных вершин О-графа, |А| - коли- 
чество атрибутов модели, |$ | — количество достижимых «монолитных» состояний. 
Тогда |5 А| 2 |У|. 

Доказательство. В худшем случае каждое состояние из множества 5 будет пред- 
ставлено |А| вершинами, то есть, когда множество ВК содержит все атрибуты модели 
для каждого состояния. Тот факт, что граф не будет включать больше вершин, чем того 
потребует множество состояний 5, следует из теоремы 4. 

Из теоремы 5 можно сделать вывод о затрачиваемой памяти. Очевидно, что в случае 
представления поведения графом, нужны дополнительные затраты памяти для хране- 
ния дуг и другой вспомогательной информации. Так же нужна память для хранения 
синхронизирующих вершин (вида «Е хапз1Е1оп=Е», «Рхор=Т(Е)»). Однако опреде- 
ляющей роли этот факт не играет: таких вершин будет максимум столько же сколько 
и атрибутных, следовательно, в худшем случае п.=К * ть, где то — память для хранения 
графа, т. — для хранения «монолитных» состояний, К — маленькая константа. На прак- 
тике, каждый переход модели изменяет не более 3 - 4 атрибутов модели, соответ- 
ственно п. << м.. 


Разметка графа 


Для повышения эффективности процедуры свеск_\151Ееа разработан алгоритм 
специальной разметки О-графа. Полное его описание выходит за рамки данной статьи; 
здесь мы ограничимся кратким описанием. Например, если, однажды проанализировав 
подграф С, и установив, что он не будет изоморфным (по отношению к подграфу, 
который порождается текущим состоянием), его вершины будут помечены красным 
цветом. Вершина, имеющая красный цвет, не нуждается в обходе подграфа, достижи- 
мого из нее — отрицательный ответ в таком случае будет выдан мгновенно. Причем 
помимо своей разметки каждая вершина будет иметь информацию о «причине» - указа- 
тель на ту смежную вершину, без изменения разметки которой нет смысла менять свою 
разметку. Аналогично, зеленый цвет вершины будет означать, что подграф, дости- 
жимый из нее, уже проанализирован, что позволяет выдать положительный ответ сразу. 
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Для поддержания актуальности разметки необходима процедура ее обновления в соответ- 
ствии с изменениями значений атрибутов модели. Так, если цвет вершины был красным 
или зеленым и произошло изменение, влияющее на ее разметку, то цвет становится 
белым, означая, что для установления изоморфности необходим дальнейший анализ 
вершин подграфа, достижимого из данной вершины. Такая техника позволяет существен- 
но повысить производительность новой процедуры проверки пройденных состояний. 


Статическое отсечение избыточных зависимостей 


Метод можно усовершенствовать путем дополнительного отсечения ветвей в О-гра- 
фе. Суть статического отсечения заключается в распознании фактической независимости 
некоторых вершин на основании анализа переходов модели до начала построения графа. 

Пример. Рассмотрим модель, переходы которой представлены в табл. 2. Анали- 
зируя описание переходов, можно сделать вывод, что вершина сопЕго1 Е1ом=сЕ2 
будет зависеть только от вершины сопЕго1 Ё10м=сЕ1, таким образом, остальные 
ее связи (с вершинами а=0, р=0, с=0, ...) в процессе построения графа можно будет 
игнорировать, при этом граф гарантированно останется консервативным относительно 
проверяемых свойств. 


Таблица 2 — Переходы модели 


переход | предусловие постусловие 
т сопго| Но\=сЁ Л а=0 л Б=0 сопго| Ноу := сР; а:=1 

Т2 сопго! Но\=сЁ Л с=0 сопго! Ноу := сЁ2; с := 0; Ъ:=0 
То сопго| Но\=еЁ Л... сопго| Но\ := сЁ2;... 


Так же для отсечения ветвей можно адаптировать существующие методы, уточ- 
няющие информационные зависимости [10-13]. 


Динамическое отсечение избыточных зависимостей 


Динамический подход заключается в последовательном выполнении процедуры 
стягивания дуг, ведущих к висячим атрибутным вершинам. Это вершины, к которым 
не было «доступа на чтение», и как следствие, они не попали во множество В. В итоге 
отсекается весь подграф, корнем которого служит вершина, из которой нет достижимых 
синхронизирующих вершин. Процедура выполняется при завершении обхода компо- 
ненты сильной связности и, очевидно, отсекает только избыточные по отношению 
к проверяемым свойствам ветви О-графа. Помимо сокращения пространства поиска, 
предложенный подход способен обнаружить потенциальные недостатки: выявление 
таких путей свидетельствует о «лишних» изменениях значений атрибутов, что может 
быть источником неэффективности вычислений или местом утечки памяти в разраба- 
тываемой системе. 


Выводы 


Предложен новый метод редукции пространства поиска при решении задачи 
достижимости на формальной модели системы переходов. В основе метода лежит ори- 
гинальный способ представления поведения модели -— в отличие от традиционных мето- 
дов проверки модели, запоминаются не индивидуальные состояния модели (включающие 
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полную информацию о значениях всех ее атрибутов), а граф зависимостей между зна- 
чениями ее атрибутов. Показано, что такой граф может быть изоморфным для довольно 
большого множества различных поведений модели (трасс). Граф зависимостей задает 
классы эквивалентности поведения с точки зрения проверяемых свойств, что позволяет 
не рассматривать перестановки действий модели принадлежащие одному классу, таким 
образом, значительная часть ветвей поведения отсекается при верификации модели, 
что сокращает эффект «комбинаторного взрыва». Предложен алгоритм прогнозиро- 
вания изоморфизма и некоторые его оптимизации - техника разметки вершин графа 
зависимостей, а так же статическая и динамическая техники отсечения ветвей в нем. 
На практике применение метода позволило получить существенное сокращение 
пространства поиска за счет устранения избыточного интерливинга и недетерминизма. 
Так же метод используется для отладки поведения формальных моделей и анализа 
причин дефектов в них [17]. Метод совместим с существующими методами предикатной 
абстракции [19], что делает его применимым для символьной верификации. 
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КЕЗОМЕ 


А. Каст 
А Мефоа рюг Кедисйоп оГАпа[у2еа Вейамог эрасе Бипиз Гетйсайоп 
ор Еогта! Моае5 о Оу йльшеа Зойураге эует5 


А пеуу 5ае-зрасе гедисноп тео Юг геасваБ у сцескте оп Югпа| поде| оЁ 1гапз1- 
боп зузет 15 ргорозеа. ТВе Ба515 оР №е тео4 15 а {ес/таие ог тоде| Бевауюг Юг герге- 
зещаноп — ш оррозйе ю ех5Ипе то4е| свесКте пешо@$, \уПеге то4деГз$ шатуна заёез 
(уашез оРГаП айибие$) аге зюгед, бе тешо4 зюгез а дереп4епсу стар Бебмееп уашез оЁ 
тодеГг$ айтьие5. [Ц 15 зпоууи, аё дерепдепсу этарН тау Бе 1вотогрыс Юг а отеай $её оЁ 
Ч етете тоде! БеВаутогз (4гасез). Егот Ше уепйе4 ргорегиез рошЁё оЁ уле\уу, Ше дерепдепсу 
этарВ зрес!ез едфдиуаепсе с1аззез оЁ то4е! Беваутог. Тб аШо\уз ю Фор региишайопз оЁ 
тоде| асйопз, УеВ Ъе]опэ$ ю Ше зате с1а5$, ап и$, тапу Беба\м1юг БгапсПез аге сиё-о 
дапис тоде| уетйсайоп, аз а гезай, ‘сотбтаюпа| ехрозюп” еНесе 15 гедисе4. Ап аеогйт 
Юг рге@сйоп оф 15отогрызт 15 ргорозе4 1юзеег Ул зоте орйпитанопз — этарБ уегЯсез 
тагкир {есбтаце, %айс ап4 дупапис {есбилацез оРБгапсвез сиё-о 5. 

1 ргасйсе, аррИсаноп оЁ бе тешфо@ зПо\уз уетиЙсаие зае-зрасе гефисноп 4ие ю 
ауо1Ате оЁ Те ехрогайоп о{ тедипдап пиейеау$ ап4 поп-деетиие таз. Або тефо4 1$ 
аррПсаЫе Юг тоде! дебиошс ап апа]уз15 оР дес саизез. Тре тео 15 сотраНЫе ул 
ргесае абзгасйоп {есбтаиез; {15 Рас таКез е плео4 аррйсаЫе Юг зутбойс уетйсайоп. 
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